“For too long tech giants have benefited from an absence of rules. The digital world has developed into a Wild West, with the biggest and strongest setting the rules. But there is a new sheriff in town – the DSA. Now rules and rights will be strengthened.”
Christel Schaldemose, lid van het Europees Parlement
Haatzaaien, bedreigingen, wraakporno, kinderporno, oplichting, zwendel, fraude… als een onbeteugeld Wilde Westen is de onlinewereld. Uit de krochten van de samenleving komt het gajes gekropen en krijgt onbeperkt toegang tot wat en wie dan ook, een gebroken land krioelend met gevaar.
Niet langer! Zegt de Europese Unie (EU). Als onderdeel van de EU digital strategy publiceert de EU de Digital Services Act, of digitaledienstenverordening, die als sheriff het Wilde Westen in het gareel zal brengen. De zweep erover!
De DSA introduceert een pakket aan regels voor aanbieders van onlinediensten, die hun diensten aanbieden aan mensen in de EU. Met dat pakket wordt een evenwicht gezocht tussen aan de ene kant gepaste zorgvuldigheidsregels voor de aanbieders van onlinediensten, en aan de andere kant de (voorwaardelijke) uitsluiting van de aansprakelijkheid van die aanbieders zodat de economie de gelegenheid krijgt te groeien.
In dit artikel ga ik in op de DSA, haar achtergrond, de verplichtingen die zij met zich meebrengt en voor wie. In het kort: hoe de DSA het Wilde Westen gaat temmen. Howdy, cowboy.
Dit stuk is gemaakt voor “cherrypicking” (lees wat je lekker vindt), mocht je dus alleen interesse in de (nieuwe) inhoudelijke verplichtingen hebben? Lees dan verder vanaf §4.2, of beperk je tot de verplichtingen voor jouw organisatie specifiek.
Wil nog meer weten over de DSA? Meld je dan aan voor onze kennismiddag op 11 januari 2024 waarin je stap voor stap door de DSA wordt meegenomen. Zo weet je aan het einde van de dag waar jouw organisatie aan toe is en welke acties nodig zijn om aan de nieuwe verplichtingen te voldoen.
1. Het digitale Wilde Westen beteugeld: maak kennis met je nieuwe sheriff
De DSA is van toepassing op partijen die online digitale diensten aanbieden, tussenhandeldiensten. Tussenpersonen die binnen de EU consumenten “verbinden” met (aanbieders van) goederen, diensten en content. Denk aan online platforms, zoals marktplaatsen en sociale medianetwerken. Ook aanbieders van mere conduitdiensten, zoals internet exchange points, en cachingdiensten, die lokaal informatie opslaan (zoals je internetbrowser) voor snellere toegang vallen onder de DSA.
De DSA trad in 2022 al in werking, maar is nog niet voor alle partijen van toepassing. De focus van berichtgeving over de DSA lag tot nog toe veel op zeer grote online platforms en zoekmachines, voor wie de DSA al van toepassing is (artikel 93). Dit zijn de aanbieders die de echt grote zoekmachines en online platforms beheren, zoals Alphabet (Google) en Meta (Facebook en Instagram).
Figuur 1: tijdlijn Digital Services Act, bron: https://digital-strategy.ec.europa.eu/nl/policies/digital-services-act-package.
Het spannendste staat nog te gebeuren. In februari is de DSA van toepassing voor alle onlinetussenpersonen. Zoals de AVG zeker een wild paard om te temmen bleek en blijkt, lijkt de DSA zich ook te gaan ontpoppen als een dynamisch wildebeest. Dus dan kunnen we haar maar beter eens leren kennen.
In dit stuk zet ik – zo plat mogelijk - uiteen welke verplichtingen er gaan gelden en voor wie. De DSA introduceert een zogenaamd asymmetrisch pakket aan inhoudelijke verplichtingen. Afhankelijk van de aard van een aanbieder hun diensten en de omvang zijn er verschillende verplichtingen. De verplichtingen hebben als doel dat de diensten niet worden misbruikt voor illegale activiteiten en dat de aanbieders op verantwoorde wijze te werk gaan.
De DSA kent nogal veel juridische nuances en de uitwerking moet nog blijken, dus zorg dat je voordat je ermee aan de haal gaat, nagaat bij een jurist welke verplichtingen allemaal voor jouw organisatie gaan gelden en hoe je daar invulling aan moet geven.
In een ander stuk ga ik in detail in op de handhaving en het toezicht: welke partijen zijn relevant om naar te kijken (en te luisteren), en wat kunnen ze doen als je het niet goed fikst?
Maar allereerst, waarom kwam deze regelgeving er?
2. Waarom de DSA? Haar achtergrond en doelen
In 2000 trad de e-Commerce Richtlijn in werking. Dit stuk regelgeving ziet op de regels voor bepaalde onlinediensten, met name de elektronische handel in producten en diensten. Sinds het jaar 2000 is er veel gebeurd. Ontwikkelingen die het dagelijks leven van Unieburgers inherent veranderden. Denk aan hoe bepaalde sociale mediaplatforms nu verweven zijn met ons persoonlijk en werkleven. Teams, Google, LinkedIn, WhatsApp, zijn bijna niet meer weg te denken in het leven van de Europese professional. Even wat bestellen via Bol(.com) voor de dag erna, bloemen online sturen naar die zieke dochter van je, een lokale wifi hotspot gebruiken in de trein of genieten van je pokébowl besteld via Thuisbezorgd.nl is allemaal van de orde van de dag. Ook Instagram, TikTok en Facebook zijn niet meer weg te denken uit het verbinden met naasten of vooral eigenlijk als nutteloos tijdverdrijf.
Die verbondenheid illustreert hoe veel invloed deze diensten (kunnen) hebben op ons leven. Wat we zien, wat we lezen, wat we over dingen denken, wordt allemaal beïnvloed door de content die ons dagelijks gevoed wordt. Bovendien wordt zo’n digitale schaduwrealiteit natuurlijk ook gebruikt voor kwaadwillende doeleinden. De digitale transformatie en het toenemend gebruik van deze diensten brengt nieuwe risico’s en uitdagingen voor de gebruikers en de maatschappij.
Volgens de EU is er door deze digitale transformatie een roep om meer duidelijkheid in de regels voor tussenpersonen die online diensten aanbieden. Meer duidelijkheid voor de aanbieders zelf (wat moeten we nu eigenlijk doen), als voor de maatschappij (welke invloed kennen deze partijen en hoe gaan we daarmee om) en voor consumenten en de Europese grondrechten die zij genieten (hoe word ik beïnvloed in mijn keuzes en is dat wenselijk).
De noodzaak voor zowel juridische duidelijkheid voor platforms en gebruikers, als van de eerbiediging van de Europese grondrechten voor gebruikers én de maatschappij, neemt dus toe. Bovendien is de e-Commerce Richtlijn een richtlijn die omgezet moest worden in nationale wetgeving. Op basis van de e-Commerce richtlijn bleef het zoeken voor veel aanbieders, waar de balans ligt tussen ingrijpen op illegale inhoud, en aansprakelijk zijn voor die inhoud. Uit die richtlijn volgt dat vrijstelling van aansprakelijkheid voor illegale inhoud alleen geldt voor diensten die een neutrale, louter technische en passieve rol spelen ten opzichte van de gehoste inhoud. Tussenpersonen hebben de verplichting direct op te treden zodra ze zich bewust zijn van illegale inhoud, maar waar ligt die scheidslijn? Met toenemende mate zagen we lidstaten (die van plan waren) verplichtingen (te) introduceren hoe om te gaan met illegale inhoud (overweging 2). Allerlei verschillende soorten nationale regels zitten onze Europese interne markt in de weg. Dat willen we in de EU liever niet.
Alles hierboven illustreert de roep om geharmoniseerde regels voor de aanpak van illegale online-inhoud en voor vrijstellingen van aansprakelijkheid van tussenpersonen. In aanvulling van en als verheldering op de e-Commerce Richtlijn. Daarom heeft de EU de DSA opgesteld en gepubliceerd, onze nieuwe sheriff. Aangenaam.
3. Voor wie geldt de DSA?
De DSA is een verordening en geldt direct door in onze nationale rechtssystemen. Op die manier wil de Europese wetgever zo veel mogelijk versnippering in nationale wetgeving voorkomen. Er moeten wel ook een aantal zaken, zoals het aanwijzen van autoriteiten en hun bevoegdheden, worden vastgelegd in nationale wetten. Bij verwijzingen naar artikelen en overwegingen gaat het in dit stuk, tenzij anders aangegeven, altijd om de DSA.
De DSA geldt voor tussenhandeldiensten (artikel 1(3)) die worden verleend aan gebruikers die zich in de EU bevinden of daar gevestigd zijn. Ongeacht waar de aanbieder zich bevindt. De gebruikers kunnen natuurlijke personen (mensen) zijn, of rechtspersonen (organisaties).
Wat zijn tussenhandeldiensten? De DSA maakt onderscheid tussen drie verschillende tussenhandeldiensten. Dit zijn mere conduitdiensten, cachingdiensten en hostingdiensten.
3.1 Mere conduit
Mere conduit staat voor “louter leiding”. Dit zijn transmissiediensten, waarbij alleen van en naar klanten informatie wordt verstuurd via een communicatienetwerk, of toegang wordt gegeven tot een communicatienetwerk (artikel 2(f) jo. artikel 4). Denk bijvoorbeeld aan een internetprovider als KPN of Ziggo, of DNS diensten (Domain Name System, waardoor je online kan navigeren naar websites via een digitaal “huisadres”), wifi netwerken en internet exchange punten.
3.2 Cachingdiensten
Cachingdiensten zijn diensten waarbij informatie (verstrekt door een gebruiker van de dienst) wordt doorgegeven in een communicatienetwerk (artikel 2 (f)), waarbij de informatie automatisch, tussentijds of tijdelijk wordt opgeslagen met als enige doel om latere doorgifte van die informatie aan andere gebruikers van de dienst te beveiligen of te vergemakkelijken. Denk bijvoorbeeld aan het tijdelijk opslaan van websites in je browser. Dit gebeurt dus bijvoorbeeld bij webbrowsers zoals Safari of Internet Explorer, de DNS-server (dit keer niet om het routeren van het digitale adres, maar alleen het tijdelijk opslaan van de gevonden webpagina) of Content Management Systemen (CMS) zoals bijvoorbeeld Wordpress. Let wel, een aanbieder van alleen caching, ben ik niet mee bekend. Vaak gebeurt er toch nog iets anders met die gegevens waardoor een partij eerder een hosting- of mere conduitdienst aanbiedt. Mocht een lezer hier wel input voor hebben, neem dan vooral contact op.
3.3 Hostingdiensten
Hostingdiensten zijn diensten waarbij de aanbieder van de dienst informatie opslaat die is verstrekt door de gebruiker of op verzoek van de gebruiker. Denk hierbij aan een cloudomgeving zoals Microsoft OneDrive, een sociaal medianetwerk als Instagram of Facebook maar ook kleinere hostingpartijen zoals Antagonist, Cloud86, True of TransIP.
Zoals al eerder kort aangehaald vallen onder deze aanbieders “zeer grote online platforms” (Very Large Online Platforms, VLOP) en “zeer grote online zoekmachines” (Very Large Online Search Engines, VLOSE). Deze titels wees de EC aan aanbieders toe. Denk hierbij aan Alphabet (Google), en Meta (Instagram), maar ook Amazon en Zalando. Deze aanbieders krijgen meer inhoudelijke verplichtingen dan andere aanbieders. Dit komt omdat zij door hun bereik een centrale, systemische rol hebben verworven in het bevorderen van het publieke debat en economische transacties. De Europese wetgever erkent in de DSA de impact van deze platforms op onze economie en samenleving, en stelt een hogere norm voor transparantie en verantwoordingsplicht voor de manier waarop zij inhoudsmoderatie (verwijderen van content online door websitebeheer) toepassen, en voor reclame en algoritmische processen. In dit stuk gaan we niet in op de aanvullende verplichtingen voor VLOPs en VLOSEs.
4. Wat zijn de regels van de nieuwe sheriff?
Wat wordt er geregeld in de DSA? In het kort gaat het om:
- regels waardoor aanbieders van tussenhandeldiensten worden uitgesloten van aansprakelijkheid voor de inhoud die over hun dienst wordt verstuurd;
- regels waardoor aanbieders van tussenhandeldiensten meer verantwoordelijkheid krijgen om een veiligere, voorspelbare en betrouwbare online omgeving te creëren (due diligence);
- regels over de implementatie en handhaving van de DSA.
De bepalingen zijn ingedeeld per soort dienstverlener. Eerst gaat het om de verplichtingen voor
- alle aanbieders van tussenhandeldiensten,
- daarna alleen over aanbieders van hostingdiensten,
- vervolgens over aanbieders van online platforms (subgroep van hostingdiensten),
- dan over aanbieders van online platforms waar consumenten bij handelaren iets kunnen kopen op afstand, en
- tot slot over de zeer grote online platforms en -zoekmachines.
Voor het leesgemak duid ik de hele groep aanbieders van tussenhandeldiensten aan met “aanbieders” in dit artikel.
Ik loop eerst door de regels over aansprakelijkheid per soort dienstverlener en leg uit hoe we die aansprakelijkheidsregels moeten interpreteren. Vervolgens ga ik in op de verplichtingen die de verschillende aanbieders kennen, en volg ik de trechteraanpak (eerst generiek, dan specifiek).
4.1 Basisregels over aansprakelijkheid voor de inhoud op een dienst
Het systeem van het voorwaardelijk uitsluiten van aansprakelijkheid voor inhoud uit de e-Commerce Richtlijn zorgde voor een groei in nieuwe diensten in de Europese interne markt. De Europese wetgever wil dat systeem in stand houden en aanvullend vastleggen en verhelderen in de DSA (overweging 16).
Ruwweg komt dit erop neer dat als de aanbieders niets te maken hebben met illegale inhoud of informatie, of er niets van wisten, dat de aanbieder niet verantwoordelijk is voor de inhoud die gebruikers van de dienst plaatsen.
Het is logisch dat dit een wenselijk systeem is: als je online tussenpersonen wel direct aansprakelijk stelt voor de inhoud of informatie geplaatst op hun diensten of platformen, wil niemand van z’n lang-zal-ze-leven nog zo’n dienst starten en stagneert de groei aan nieuwe diensten in de EU (hoewel de Verenigde Staten en China rustig doorakkeren). Het risico voor aanbieders is dan namelijk te groot om te nemen.
4.1.1 Welke aansprakelijkheidsregels gelden per soort dienst?
Per tussenhandeldienst zijn er specifieke voorwaarden voor de aansprakelijkheidsvrijstelling.
In principe is een aanbieder van een mere conduitdienst niet aansprakelijk voor de informatie die zij doorgeven, zolang zij het doorgeven niet initieren, de ontvanger niet selecteert en de doorgegeven informatie niet selecteert of wijzigt (artikel 4).
Aanbieders van cachingdiensten zijn niet aansprakelijk voor de inhoud opgeslagen via hun dienst, zolang de aanbieder
- de informatie niet aanpast,
- de toegangsvoorwaarden voor de informatie in acht neemt,
- de gangbare regels over bijwerking van de informatie naleeft,
- de aanbieder niets wijzigt aan het gangbare rechtmatige gebruik van de technologie voor het verkrijgen van gegevens over het gebruik van de informatie en
- de aanbieder prompt handelt om de informatie te verwijderen als de aanbieder weet dat de informatie verwijderd werd van de plaats waar zij oorspronkelijk in het net was, als een rechtbank of administratieve instantie opdraagt de toegang ertoe onmogelijk te maken (artikel 5(1)).
Wat nou precies de toegangsvoorwaarden, gangbare regels voor bijwerking en rechtmatig gebruik van technologie zijn, is al sinds de ingang van de e-Commerce Richtlijn discussie over. Er is geen autoriteit of rechter die dit verhelderde. Het concept caching gaat om het kort opslaan van informatie om sneller of gemakkelijker toegang te bieden tot inhoud, daarom lijkt het logisch dat deze voorwaarden in de kern gaan over dat de aanbieder daar niet van afwijkt. Alleen tijdelijk opslaan zodat de gebruiker sneller of gemakkelijker toegang heeft tot inhoud. Geen aanvullende diensten of gebruik van die data boven op die dienstenlaag. Zo wel, dan riskeer je aansprakelijkheid.
Een aanbieder van een hostingdienst is niet aansprakelijk voor de opgeslagen informatie zolang de dienstverlener geen daadwerkelijke kennis heeft van de illegale activiteit/inhoud, of zolang de dienstverlener prompt (“expeditiously”) handelt op het moment dat ze kennis heeft van de illegale activiteit/inhoud (artikel 5). Hier zijn een aantal uitzonderingen op.
Zo’n aanbieder is wel aansprakelijk als de gebruiker (die de informatie liet opslaan), onder het gezag of toezicht van de aanbieder handelde (artikel 6(2)). Ook is de dienstverlener wel aansprakelijk als, in het geval van een koop op afstand (oftewel, online (ver)kopen), de informatie over het product of de dienst zo is gepresenteerd alsof de consument het direct koopt bij de dienstverlener, terwijl het eigenlijk via een derde gaat.
Denk bijvoorbeeld aan een platform zoals Bol(.com). Het moet duidelijk zijn voor de consument of Bol of een andere handelaar het product verkoopt. Zo zie je bijvoorbeeld in het screenshot van de Bol website dat is verduidelijkt welke handelaar een product verkoopt. Als dat niet duidelijk was, zou Bol aansprakelijk kunnen zijn in het geval van illegale inhoud (artikel 6(3)).
4.1.2 Hoe ver gaat de vrijstelling van aansprakelijkheid?
De bedoeling van de aansprakelijkheidsvrijstelling is duidelijk te maken wanneer de aanbieder niet aansprakelijk is voor illegale inhoud. Dit is dus geen positieve basis om de aanbieder aansprakelijk te stellen (overweging 17). Als de aanbieders feitelijke kennis hebben van illegale inhoud, zijn zij wel aansprakelijk voor de inhoud (artikel 6(3)).
Let wel, er is niet meteen sprake van “feitelijke kennis hebben van illegale inhoud” als een aanbieder zijn best doet om illegale inhoud actief op te sporen, of omdat ze maatregelen nemen om de vereisten van Europees recht na te leven (artikel 7). Meer weten over de aansprakelijkheidsvrijstelling en wanneer hij specifiek niet opgaat, zie dan ook overweging 16-27.
Aanbieders hebben geen algemene monitorverplichting om toe te zien hoe gebruikers de informatie doorgeven/opslaan, noch om actief op zoek te gaan naar feiten of omstandigheden die op illegale activiteiten duiden (artikel 8).
Deze regels en verheldering moet je lezen tegen de achtergrond dat er veel discussie was in hoeverre actief monitoren van illegale inhoud ervoor zorgt dat een platform aansprakelijk is, of anders gezegd: had moeten weten dat er illegale inhoud was, en daarom aansprakelijk is voor het online laten staan van die inhoud. Door de bovenstaande verduidelijking worden dienstverleners niet ontmoedigd hun best te doen om illegale inhoud op te sporen, of dat is in ieder geval het idee.
4.2 Verplichtingen voor alle aanbieders
De aansprakelijkheidsvrijstelling is duidelijk, dus is het tijd voor de inhoudelijke verplichtingen. Een aantal due diligence verplichtingen gelden voor alle aanbieders, die zet ik hier op een rij.
4.2.1 Verplichtingen voor aanbieders bij het ontvangen van bevelen
4.2.1.1 Contactpunt voor autoriteiten en afnemers en wettelijke vertegenwoordiger
Aanbieders wijzen een contactpunt aan met wie direct gecommuniceerd kan worden door de EC, de European Board for Digital Services (orgaan voor interpretatie en leiding bij interpretatie DSA, EBDS) en de Digital Services Coordinators (nationale toezichthouder, DSC) en andere autoriteiten. De contactinformatie, inclusief de taal waarmee met hen gecommuniceerd kan worden, is gemakkelijk beschikbaar (artikel 11). Hetzelfde geldt voor het contactpunt voor de gebruiker van de dienst (artikel 12), waarmee gebruikers gemakkelijk moeten kunnen communiceren. Aanbieders die niet gevestigd zijn in de EU maar hier wel diensten aanbieden, moeten een wettelijke vertegenwoordiger aanstellen in een van de lidstaten waar zij diensten aanbiedt (artikel 13).
4.2.1.2 Beperkingen op de inhoud
Als aanbieders enige beperking m.b.t. de inhoud die gebruikers kunnen plaatsen op hun dienst toepassen, moeten ze die verwerken in hun algemene voorwaarden. Daaronder begrepen zijn beleidsmaatregelen, procedures, maatregelen en instrumenten gebruikt voor inhoudsmoderatie (aanpassen/wijzigen van informatie die gebruikers op de dienst plaatsen), en mogelijke algoritmische besluitvorming die ze daarbij toepassen. Als de dienst voor minderjarigen is bedoeld, of vooral door hen wordt gebruikt, zorgen de aanbieders ervoor dat het ook voor hen te begrijpen is (artikel 14).
Zie als voorbeeld het screenshot van de applicatie Vinted waar gebruikers kleding kunnen (ver)kopen, Vinted vertelt in hun (nieuwe) algemene voorwaarden aan welke voorwaarden artikelen moeten voldoen.
4.2.1.3 Jaarlijks inhoudsmoderatierapport
Jaarlijks publiceren aanbieders (behalve micro en kleine organisaties, zie §4.6) een gemakkelijk te begrijpen rapport over (onder andere) inhoudsmoderatie die ze toepasten in het afgelopen jaar (artikel 15), zie het voorbeeld van Meta hiernaast. Dit rapport moet aan inhoudelijke vereisten uit artikel 15 voldoen. Aanbieders van hostingdiensten en online platforms hebben aanvullende vereisten waar dit rapport aan moet voldoen (artikel 24(1)).
4.2.2 Verplichtingen voor aanbieders bij het ontvangen van bevelen
4.2.2.1 Bij ontvangen van bevel op te treden tegen illegale inhoud
Als je als aanbieder een bevel ontvangt van een gerechtelijke of administratieve autoriteit (DSC, of een andere bevoegde autoriteit) om tegen specifieke illegale inhoud op te treden, moet je direct de autoriteit op de hoogte stellen van hoe je aan dat bevel hebt voldaan (artikel 8). Die bevelen moeten voldoen aan de inhoudelijke eisen zoals opgesteld in artikel 8(2), en de autoriteit die het bevel stuurt moet het direct doorsturen naar alle andere DSC’s (volgens het systeem in artikel 67).
De aanbieder moet ook de gebruikers van de dienst informeren over het bevel dat ze hebben ontvangen en hoe ze daaraan hebben voldaan (artikel 9(5)). De termijn hiervoor is uiterlijk wanneer het bevel is nageleefd.
4.2.2.2. Bij ontvangen van bevel tot verstrekken informatie
Als je als aanbieder een bevel ontvangt van een gerechtelijke of administratieve autoriteit om informatie te geven (op basis van Europees of nationaal recht) over een specifieke gebruiker, of meerdere specifieke gebruikers van je dienst, moet je daar direct gevolg aan geven. Ook hier weer, moet dit bevel voldoen aan inhoudelijke vereisten die voornamelijk toezien op een degelijke motivatie (artikel 9 (2)).
Let wel, als dienstverlener moet je in geval dat je persoonsgegevens verstrekt ook aan de AVG voldoen, en zorgen dat je een duidelijke grondslag hebt (artikel 6 AVG). De wettelijke verplichting-grondslag (artikel 6(1)c) geldt alleen voor de organisatie op wie de wettelijke verplichting rust, dus je zou moeten uitwijken naar algemeen belang of gerechtvaardigde belangen en dit goed beargumenteren en registreren.
Ook bij het naleven van dit bevel moet de aanbieder de betreffende afnemer informeren van het ontvangen bevel en hoe daar gevolg aan is gegeven (artikel 10(5) jo. artikel 5(1) AVG).
4.3 Verplichtingen voor aanbieders van hostingdiensten
Zoals gezegd kent de DSA een asymmetrisch verplichtingenpakket. Aanbieders van mere conduit-, caching- en hostingdiensten kennen alledrie hun eigen risico’s. We zien zeker over de laatste jaren dat aanbieders van hostingdiensten een grote invloed hebben op consument en maatschappij en deze verplichtingen zijn een reactie daarop.
4.3.1 Notice & action mechanisme
Elke aanbieder van een hostingdienst moet een “notice-and-action” mechanisme faciliteren. Via een N&A mechanisme kunnen gebruikers gemakkelijk de aanbieder laten weten dat er inhoud op hun dienst staat die de gebruiker ziet als illegaal (artikel 16). Onder de e-Commerce richtlijn kenden we het NTD-mechanisme, notice & takedown. Het lijkt erop dat het N&A mechanisme veel gelijk is, en voornamelijk anders in de voorwaarden die de DSA stelt voor de notice & de action. Die mechanismen moeten namelijk voldoen aan de vereisten van artikel 16(2).
Denk hierbij aan een situatie waarbij een websitehostingpartij als Cloud98 een website host waarop neppe of gestolen producten verkocht worden. Als een gebruiker dat ziet, moet zij dit direct via het N&A systeem kunnen melden en de hostingpartij moet daarop reageren.
4.3.2 Informatievoering bij beperking van gebruiker
Als er inhoud offline wordt gehaald, of op een andere manier de gebruiker beperkt wordt in het gebruik van de dienst, moet de aanbieder van de hostingdienst de gebruiker een duidelijke en specifieke motivering geven (als de contactgegevens van de gebruiker bij de aanbieder bekend zijn) (artikel 17). Die motivering moet voldoen aan de inhoudelijke vereisten van artikel 17(3). Stel dat je als gebruiker bijvoorbeeld een post plaatste op Reddit over hoe je het beste je huisdier kan sturen naar de “eeuwige boerderij”, en dat wordt er afgegooid, moet Reddit je wel vertellen dat dat zo was omdat het illegaal is om dieren iets aan te doen.
4.3.3 Informatievoorziening aan autoriteiten bij vermoeden strafbaar feit
Als de aanbieder kennis krijgt van informatie die een vermoeden geeft dat een strafbaar feit (inhoudende een bedreiging voor het leven of de veiligheid van een of meerdere personen) plaatsvindt of waarschijnlijk plaats gaat vinden, moet de aanbieder zo spoedig mogelijk de gerechtshandhaving of gerechtelijke autoriteiten hiervan op de hoogte stellen en alle relevante informatie opsturen (artikel 18).
De crux bij de verplichting 3 is wel dat je volgens artikel 10 AVG alleen “onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden” persoonsgegevens over (het vermoeden van) strafbare feiten mag gebruiken. Of artikel 18 DSA voldoende “Unierechtelijke bepaling” is om hieraan te voldoen moet nog blijken, het biedt op zich namelijk geen passende waarborgen voor de rechten en vrijheden van betrokkenen. Bovendien is veel illegale inhoud ook verboden om op te slaan op grond van het Wetboek van Strafrecht, denk bijvoorbeeld aan kinderporno. Daarvoor kan je een flinke gevangenisstraf oplopen. De concept implementatiewet DSA biedt hier nog geen oplossing voor.
4.4 Verplichtingen voor aanbieders van online platforms
Een “online platform” is een dienst via welke gebruikers informatie kunnen opslaan en verspreiden naar het publiek. Dat opslaan en verspreiden moet een groot onderdeel zijn van de dienst, geen bijzaak (artikel 2(4)). De EC legt op haar website uit dat het gaat om: “onlineplatforms waar verkopers en consumenten samenkomen, zoals onlinemarktplaatsen, appstores, deeleconomieplatforms en socialemediaplatforms”. Denk hierbij bijvoorbeeld aan Facebook (VLOP), Reddit (applicatie voor het delen van informatie van gebruikers), TooGoodToGo (applicatie waar bedrijven hun bijna overdatum producten voor een prikkie wegdoen), Marktplaats, Treatwell (afspraken maken met kappers en schoonheidssalons etc.) of Ticketswap ((ver)koop voor tickets voor evenementen). Een streamingsdienst als Netflix valt hier bijvoorbeeld niet onder, omdat gebruikers zelf hier geen informatie kunnen opslaan of verspreiden.
Behalve het informeren van de DSC of de EC, op hun verzoek, over de hoeveelheid gebruikers op een platform (9.), gelden deze verplichtingen niet voor micro- en kleine organisaties (zie §4.6).
4.4.1 Klachtrecht bij beperking van gebruik online platform
In het geval dat aanbieders van online platforms besluiten gebruikers op een of andere manier te beperken in het gebruik van hun dienst, moeten zij de gebruikers voorzien in een effectief intern klachtensysteem (artikel 20). De aanbieder moet “onverwijld” reageren op de klacht. Om terug te komen op het Reddit verhaal, want dat is een online platform zowel als een hostingpartij, zou je als gebruiker dus ook – gemakkelijk – een klacht moeten kunnen indienen over het feit dat je post eraf is gehaald.
Let op: dit systeem kan je goed incorporeren in de reeds bestaande procedures voor rechten van betrokkenen zoals we die kennen uit de AVG (artikel 15 e.v. AVG).
4.4.2 Recht op verhaal bij beperking van het gebruik van online platform
Mochten gebruikers het niet eens zijn met een besluit om hun te beperken, mogen zij zelf een buitengerechtelijkegeschillenbeslechtingsorgaan (BGOO) kiezen om deze beperkingsbesluiten op te lossen (artikel 21). De aanbieder moet deze mogelijkheid om een BGOO te kiezen, duidelijk en gemakkelijk toegankelijk op hun online interface plaatsen. Een BGOO is een door de DSC gecertificeerd orgaan dat gespecialiseerd is in illegale inhoud en online geschillenbeslechting, zoals benoemd in artikel 21(3) DSA.
4.4.3 Trusted flaggers
De DSA introduceert een nieuwe rol, die van de betrouwbare/trusted flagger. Trusted flaggers zijn organisaties (geen individuen, zie overweging 61) die zodanig expertise hebben aangetoond dat zij goed zijn in het aanpakken van illegale inhoud, en dat zij op een nauwkeurige objectieve manier te werk gaan in het aankaarten daarvan. Aanbieders van online platforms moeten de nodige technische en organisatorische maatregelen nemen zodat meldingen van trusted flaggers door de notice-and-action mechanismen (artikel 16) met prioriteit worden opgepakt en daar prompt (“without undue delay”) op wordt gereageerd.
Als die trusted flagger meerdere malen incorrecte of onvoldoende duidelijke meldingen verstuurt, moet de aanbieder van het online platform de DSC hierover informeren (artikel 22).
Zo houdt bijvoorbeeld een team binnen het ministerie van Binnenlandse Zaken (BZK) van de Rijksoverheid zich bezig met het bestrijden van desinformatie. Dat team heeft rondom de verkiezingen de status trusted flagger bij verschillende social mediaplatforms. Deze specifieke trusted flagger geeft wel een heel erg de ‘slager die zijn eigen vlees keurt’ idee. Als onze waarheidsvinding over onze eigen overheid afhangt van diezelfde overheid in combinatie met de visie van grote corporates, vraag ik me af in hoeverre de trusted flagger-systematiek ons zal helpen. Goed, daar kan ik nog een ander stuk over schrijven (en hoera voor journalistiek!), en er zijn, en komen ongetwijfeld, ook nog andere trusted flaggers. Buiten BZK zijn er meer Rijksoverheid organisaties die al trusted flagger zijn, zo kennen ook de politie, Nederlandse Voedsel- en Warenautoriteit, de Autoriteit Financiële Markten en de Kansspelautoriteit een speciale status bij Meta.
4.4.4 Omgang met illegale inhoud
4.4.4.1 Wat is illegale inhoud?
“Illegale inhoud” is inhoud die op zichzelf (denk aan illegale haatzaaiende uitingen of terroristische inhoud), of in relatie tot activiteit(en), in strijd is met Europees of nationaal recht. Zie dit voorbeeld van de Eurocommissaris Breton die X op de vingers tikt in relatie tot illegale inhoud met betrekking tot de recente aanval op Israël. “Illegale inhoud’’ moet breed geïnterpreteerd worden, zodat het ook informatie met betrekking tot illegale inhoud, producten, diensten en activiteiten inhoudt. “Illegale inhoud” moet zo gedefinieerd worden dat het weerspiegelt wat in de offlinewereld illegaal is. Bij de interpretatie van “illegale inhoud” moet je in je achterhoofd houden dat het doel is om een veilige, voorspelbare en betrouwbare online omgeving te realiseren (zie artikel 3(h) en overweging 12).
4.4.4.2 Schorsing
Als een gebruiker van het online platform regelmatig kennelijk illegale inhoud plaatst, schort de aanbieder – na een waarschuwing – de toegang tot de dienst op (artikel 23(1)). Hetzelfde geldt voor eenieder die vaak klachten of meldingen versturen via het notice & action mechanisme die kennelijk ongegrond zijn (artikel 23(2)).
Stel bijvoorbeeld dat TicketSwap erachter komt dat iemand constant fraude pleegt met neppe e-tickets voor evenementen, dan zullen ze die persoon schorsen van de verkoop van tickets (dit gebeurt al bij TicketSwap, zie de screenshot).
4.4.5 Informatievoorziening over reclame
Aanbieders van online platforms moeten ervoor zorgen, als ze reclame tonen op hun online interface, dat ze de ontvangers van hun dienst informeren over een aantal zaken. Het volgende moet gemakkelijk en op hetzelfde moment (realtime) duidelijk zijn:
- dat het gaat om een advertentie,
- namens wie die advertentie wordt getoond,
- wie hem heeft betaald, en
- wat de belangrijkste parameters zijn die worden gebruikt om te bepalen aan wie de reclame wordt getoond, en daar moet de aanbieder betekenisvolle informatie over geven.
De gebruikers die commerciële communicatie uiten op de dienst, moet een “functionaliteit” geboden worden om te verklaren dat ze dergelijke inhoud delen.
Het gebruiken van bijzondere persoonsgegevens (zie artikel 9 AVG) voor het tonen van reclame op basis van profilering is niet meer toegestaan (artikel 26(4) DSA jo. artikel 9(1) AVG).
4.4.6 Transparantie en keuzes in het gebruik van “recommender systems” (aanbevelingssystemen)
Aanbieders van online platforms die “recommender systems” (aanbevelingssystemen) gebruiken moeten de belangrijkste parameters die in het aanbevelingssysteem worden gebruikt, in begrijpelijke en duidelijke taal in hun algemene voorwaarden zetten, samen met de opties van ontvangers van de dienst om die belangrijkste parameters te beïnvloeden of aan te passen (artikel 27 DSA). 
Denk bijvoorbeeld aan Twitter en LinkedIn die je nu al de mogelijkheid bieden om je tijdlijn te prioriteren ofwel op tijd ofwel op “relevantie”, en moeten uitleggen wat die “relevantie” betekent (zie de screenshots hieronder). Rechts zie je een screenshot van de (nieuwe) algemene voorwaarden van de applicatie Vinted. Daar legt Vinted uit welke parameters relevant zijn voor de rangorde van hun advertenties.
Als de interface informatie op verschillende manieren presenteert aan de ontvangers van de dienst, moet de aanbieder van het platform een functionaliteit aanbieden waar de ontvanger hun voorkeur kan doorgeven. Die functionaliteit moet beschikbaar zijn op de plek waar de informatie geprioriteerd wordt (artikel 27(3)).
4.4.7 Passende beveiligingsmaatregelen bij toegang voor minderjarigen
Als een online platform toegankelijk is voor minderjarigen, moet de aanbieder daarvan passende en evenredige maatregelen nemen op hun dienst om een hoog niveau van privacy, veiligheid en security van minderjarigen te waarborgen (artikel 28(1)). Een adequate beveiliging is op basis van de AVG (artikel 32 AVG), nu ook al een verplichting in geval een partij persoonsgegevens verwerkt. Artikel 28 DSA lijkt deze bestaande verplichting te verzwaren, ongeacht of een partij te maken heeft met persoonsgegevens.
4.4.8 Verbod voor reclame aan kinderen op basis van profilering
Het is voor aanbieders van online platforms niet toegestaan reclames aan minderjarigen te tonen op basis van profilering waarbij gebruikt wordt gemaakt van persoonsgegevens (artikel 28(2) DSA jo. artikel 4(1) en (4) AVG). Dit geldt voor gebruikers waarvan de aanbieder met redelijke zekerheid kan zeggen dat het gaat om een minderjarige. Dit is bijvoorbeeld ook zoals het platform grotendeels wordt gebruikt door minderjarigen, of als dat de doelgroep is. TikTok zal dus een grote verandering moeten gaan maken, maar ook andere platforms die bijvoorbeeld online kinderspelletjes faciliteren.
4.4.9 Halfjaarlijks rapport – online platforms en zoekmachines
Aanbieders van online platforms en online zoekmachines moeten na 17 februari 2024 halfjaarlijks informatie publiceren over de hoeveelheid gebruikers van hun dienst in de EU. De DSC kan ook recentere informatie opvragen. Die informatie wordt door de EC gebruikt om te beslissen of er sprake is van een VLOP of VLOSE (artikel 24(2) en artikel 33). Mocht er dan opeens een kleine start-up zijn die een geniaal concept heeft en dat binnen een halfjaar zo uit de klauwen loopt dat het aan de VLOP/VLOSE criteria voldoet, zal de EC in staat zijn om die partij als VLOP/VLOSE te (h)erkennen.
4.4.10 “Neutrale” interfaces
Aanbieders van online platforms mogen hun online interface en design niet zó inrichten dat ze de gebruiker misleiden, manipuleren of hun online interface en het design op een andere manier presenteren waarbij het de capaciteit van de gebruiker om vrije en geïnformeerde beslissingen te maken verstoort of ondermijnt (artikel 25). In principe zijn bijna alle online platforms zo ingericht (psychologisch gezien) dat je als gebruiker zo lang mogelijk blijft hangen.
Ik ben benieuwd of deze verplichting echt grote veranderingen met zich mee zal brengen. Bij een neutrale interface stel ik me dan iets voor van een zwart/wit pagina, zonder enig gebruik van triggers (kleur, vetgedrukt, bewegingen op de pagina). Waar ligt de scheidslijn tussen je organisatie lucratief maken (“ja maar anders vallen we niet op”) en manipulatie (“deze persoon is in een kwetsbare periode dus stellen we product Y voor”)? Zou dan ook het tonen van reclame bij tramhaltes op basis van dataverzameling over die buurt ook al manipulatie zijn, of in ieder geval sturing van keuzes aanwakkeren?
4.4.11 Jaarlijks inhoudsmoderatierapport
In aanvulling op artikel 15 (punt 3 van §4.2) moeten aanbieders van online platforms ook rapporteren in hun jaarlijks inhoudsmoderatierapport over het aantal schorsingen dat is uitgegeven aan gebruikers, en het aantal geschillen voorgelegd aan het BGOO (artikel 24).
4.5 Verplichtingen voor aanbieders van online platforms die ook online verkopen faciliteren
Aanbieders van online platforms die handelaren en consumenten bij elkaar brengen, en zo een koop op afstand (een overeenkomst tussen handelaar en consument die niet bij elkaar in de buurt zijn) faciliteren, kennen aanvullende due diligence verplichtingen. Die verplichtingen zijn niet van toepassing op micro en kleine organisaties behalve als die organisatie een VLOP of VLOSE is.
4.5.1 Verplichte contactinformatie over handelaren
De aanbieders zorgen dat zij een basis aan informatie over de handelaren ontvangen en moeten moeite steken in het verifiëren van die informatie. Anders mag de aanbieder de handelaar niet toestaan promotie van berichten over, of voor het aanbieden van producten of diensten, te plaatsen op hun platform, aan mensen in de EU. Het gaat om:
- naam, adres, telefoonnummer en e-mail adres;
- een kopie ID;
- betaalgegevens;
- waar de handelaar is geregistreerd;
- een zelf-certificering door de handelaar dat ze alleen diensten of producten aanbiedt in lijn met toepasselijke wetgeving.
Een deel van deze informatie moeten aanbieders ook beschikbaar maken op hun platform voor gebruikers. De aanbieder moet deze informatie na 6 maanden na beëindigen van de overeenkomst verwijderen.
Als de handelaar deze informatie niet weet te geven binnen 12 maanden, zal de aanbieder de toegang tot het platform moeten opschorten (artikel 30 lid 2). De handelaar mag op hun beurt hierover een klacht indienen, en zo nodig naar een BGOO stappen (artikel 20 en 21). Vinted is een voorbeeld van de platforms die deze informatie over de handelaar zal moeten verzamelen.
4.5.2 Platforms ontwerpen naar conformiteit (compliance by design)
Aanbieders zijn er verantwoordelijk voor dat het gemakkelijk is voor handelaren die diensten of producten aanbieden op het platform om aan hun wettelijke verplichtingen te voldoen. De online interface moet zo zijn ontworpen dat het handelaren mogelijk maakt te kunnen voldoen aan hun verplichtingen t.a.v. precontractuele informatie, naleving en productveiligheidsinformatie.
Aanbieders moeten ook hun best doen om – voordat ze de handelaar producten of diensten laten aanbieden – te checken of ze die informatie hebben ontvangen en of het up-to-date is. Specifiek moet de aanbieder de handelaar in staat stellen de volgende informatie te verstrekken:
- Informatie over de “marktdeelnemer”. Zie hiervoor artikel 3(13) Verordening 2019/1020 over markttoezicht & conformiteit van producten: “de fabrikant, de gemachtigde, de importeur, de distributeur, de fulfilmentdienstverlener of andere natuurlijke personen of rechtspersonen voor wie verplichtingen gelden ten aanzien van de vervaardiging van producten” in de keten van productie).
- Noodzakelijke informatie voor een duidelijke identificatie van de producten of diensten;
- een teken dat de handelaar identificeert (logo, symbool, etc.);
- (als van toepassing) informatie over de etikettering of symbolen in lijn met productveiligheid in de EU (denk aan de CE-markering).
4.5.3 Omgang met vermoeden van illegale producten of diensten
Als een aanbieder erachter komt dat een van de handelaren illegale producten of diensten aanbiedt en verkoopt, moet de aanbieder direct de consumenten die die producten of diensten hebben gekocht op de hoogte stellen daarvan, en van aanvullende informatie (artikel 32). Als de aanbieder niet weet wie de producten of diensten heeft gekocht, plaatst de aanbieder die informatie op hun online platform.
4.6 Uitzonderingen voor micro en kleine organisaties
Zoals we al eerder hebben gezien, zijn micro en kleine organisaties (‘organisatie’ betekent enige entiteit die betrokken is met economische activiteit) uitgesloten van bepaalde verplichtingen. Het gaat om organisaties zoals bepaald in Aanbeveling 2003/361/EC. Een kleine organisatie is een organisatie met minder dan 50 werknemers in dienst, en een jaarlijkse omzet lager dan 10 miljoen euro. Een micro-organisatie is een organisatie met minder dan 10 werknemers en een jaarlijkse omzet van niet groter dan 2 miljoen.
Hierbij de uitzonderingen nog een keer op een rij. Deze organisaties zijn uitgezonderd van:
- verplichtingen uit de bepalingen voor aanbieders van online platforms, behalve de verplichting halfjaarlijks te rapporteren over het gemiddelde aantal gebruikers per maand als de DSC of de EC erom vraagt (artikel 24(3))
- verplichtingen uit de bepalingen voor aanbieders van online platforms die de mogelijkheid bieden om overeenkomsten op afstand te sluiten (artikel 29 DSA), behalve als die organisatie een VLOP of VLOSE is;
- de verplichting jaarlijks te rapporteren over inhoudsmoderatie (artikel 15 (2)).
5. Het wilde westen aan de lijn?
Uit een korte geschiedenisles via YouTube (aanrader) leerde ik dat het Wilde Westen, het westelijke deel van de Verenigde Staten, helemaal niet zo wild was (oké, relatief gezien dan)... Nadat er goud was gevonden in Californië, gingen mensen massaal op zoek naar goud in die regio. De populatie groeide exponentieel, zonder dat er een fatsoenlijk rechtssysteem was, maar gespuis is natuurlijk van alle tijden. Conflicten losten mensen daar zelf op, zonder rechter of onafhankelijke derde partij. De media, met hun spannende “WANTED” posters, portretteerden deze regio als een losgebroken gekkenhuis, waar criminaliteit zegevierde en onveiligheid notie van de dag was.
De crux was alleen dat in het oosten, waar wel een (of enigszins) een rechtssysteem was, er meer criminaliteit plaatsvond. Dat systeem was dus niet per se de oplossing voor de criminaliteit, of het gebrek aan een rechtssysteem per se de reden voor criminaliteit.
Het moge duidelijk wezen dat de verachtelijke zaken die gebeuren in het online wilde westen mij ook niet aanstaan. Laten we desalniettemin waken voor het afdwingen van een systeem, wanneer het geen vruchten afwerpt en kritisch zijn op het succes of falen van de uitwerking van regelgeving. Maar hoe meten we dat succes? Het is mij niet helemaal duidelijk op welke balans precies wordt gezocht met de DSA: willen we meer verantwoordelijkheid voor tussenpersonen, minder? Willen we juist vooral de interne markt laten groeien om die aansprakelijkheid weg te trekken, en als dat gelukt is, is de DSA een succes? Of gaat het om het verminderen van fraude, oplichting en andere verachtelijke zaken, het aansprakelijk kunnen stellen van opruiers en haatzaaiers, en kunnen we de uitwerking van de DSA op die manier letterlijk meten? Of dat allemaal, maar waar ligt dan de gewenste balans?
Laten we kritisch zijn op de uitwerking en de toepassing van de DSA, en of het beantwoordt aan de vraag van onze digitale samenleving om veiliger en verantwoordelijker te leven in het online wilde westen, en niet doorschieten in het afdwingen van een systeem omdat een systeem nou eenmaal beter werkt. Wat wij als maatschappij willen en verwachten van een onlinemaatschappij, daar moeten we over nadenken en dat nastreven, en voorkomen dat we een bureaucratische stapel aan documenten creëren die geen oplossing bieden.
Maar om te kijken of het werkt, zullen we het eerst moeten proberen. Aan de bak dus.
